Jaff zsarolóvírus

CH azonosító

CH-14032

Angol cím

Jaff ransomware

Felfedezés dátuma

2017.05.10.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Necurs botnet által, e-mailben terjed egy új, “Jaff” nevű zsarolóvírus.

Leírás

Az e-mail mellékletként csatolt, fertőzött PDF tartalmazza azt a beágyazott DOCM fájlt, amely makrója letölti és futtatja a vírust. 423 különböző kiterjesztésű fájlt képes titkosítani, ehhez a művelethez nem szükséges internetkapcsolat. A titkosítást követően a fájlok “.jaff” kiterjesztést kapnak és a vírus minden érintett mappába bemásolja a ReadMe.bmp, ReadMe.html és a ReadMe.txt fájlokat. Eközben az Asztal háttérképét is megváltoztatja, amelyen a váltságdíj kifizetésének lépéseit mutatja.

Az e-mail tárgyaként az alábbi formátumú kifejezéseket tüntetik fel:
PDF_ {négy vagy több számjegy}
Scan_{négy vagy több számjegy}
File_{négy vagy több számjegy}
Copy_{négy vagy több számjegy}
Document_{négy vagy több számjegy}
Receipt to print

 

UPDATE: új variáns tűnt fel, mely az alábbiakban különbözik az eredetitől :

Az új variáns is e-mailben terjed, de tárgyként az alábbiak szerepelnek (a számok véletlenszerűen generálódnak):

Copy of Invoice 99483713
Invoice(58-0710)

 

A titkosítás során a fájlok kiterjesztését .WLU-ra módosítja. A dekódolás lépéseit fekete alapon zöld szöveget tartalmazó háttérkép és HTML oldal mutatja.